标题: Win10上Process Explorer查看线程的一点小知识
https://scz.617.cn/windows/201801171455.txt
Process Explorer查看指定进程的线程时,procexp64.exe将向目标进程插入一个线 程。这个线程并不是procexp64.exe显式创建的,它是由 ntdll!ZwQueryInformationProcess隐式创建的,第2形参应该是 ProcessDebugInformation。该线程的ThreadProc是 ntdll!RtlpQueryProcessDebugInformationRemote。
假设在x64/Win10上用cdb启动mspaint,停在ibp处,然后用Process Explorer查看 mspaint的线程,默认情况下(MaxLoaderThreads为0),应该会看到4个线程;0号是主 线程;一个是System插进来的,一个是ntdll!LdrpLoadDependentModule弄出来的, 它们的Win32StartAddress都是ntdll!TppWorkerThread,这两个在内核态、用户态的 出现顺序均不固定,它们都为Win10的并行加载dll机制所用;最后一个是 procexp64.exe插进来的。
在Win10上如果想关闭指定进程的并行dll加载机制,可以:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspaint.exe" /v MaxLoaderThreads /t REG_DWORD /d 1 /f
这是关闭mspaint.exe的。